prosil bych o zkontrlování logu, děkuju

[Sir_-_Death]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0:08:39, on 1.9.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\NetCentrum\Notifikator\Notifikator.exe
C:\Program Files\MediaKey v2.00\Versato.exe
C:\Program Files\MediaKey v2.00\MePlayer.exe
C:\Program Files\MediaKey v2.00\OSD.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\AnyDATA\EasyWirelessNet\EasyWirelessNet.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\sir\Dokumenty\programy\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.centrum.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Centrum.cz Notifikátor] "C:\Program Files\NetCentrum\Notifikator\Notifikator.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Genius Multimedia Keyboard Driver.lnk = C:\Program Files\MediaKey v2.00\Versato.exe
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{1812FA59-3A1D-4B3F-B0F7-870D41C41FBF}: NameServer = 160.218.10.200 160.218.43.200
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

[Recon]

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
alexa.

Mate nejaky problem?

[Sir_-_Death]

Mate nejaky problem?

JJ Problém by byl - po každý, co se připojím na net, najde Avast 2 - 4 trojany. Bohužel se jich nemůžu zbavit, protože po každém restartu a připojení k netu jsou tam zase. Navíc mi něco asi blokuje přístup na battle.net, protože mi během připojování naskočí okno, že Battle.net nemohl zjistit verzi mé aplikace.

Tady jsou ty trojany: http://www.ukazto.com/?img=Beznzvu-jfk1.jpg

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
alexa.

To mám odstranit?

[Recon]

Smaz soubory v temp, vypni obnovu systemu, restartuj PC a pak to zkus, nemelo by to delat. Obnovu samozhrejme potom muzes znovu zapnout.

[Sir_-_Death]

Jsou tam furt (ty jak jsem postoval v obrázku)

[likc]

Nemas aktualni windows a IE. Chybi firewall.
Kdyz ty soubory treba 1.exe smazes rucne ze slozky, tak se Ti znovu objevi, jo?

[Sir_-_Death]

Nemas aktualni windows a IE. Chybi firewall.
Kdyz ty soubory treba 1.exe smazes rucne ze slozky, tak se Ti znovu objevi, jo?

IE nepoužívám. Firewall už mám, ale nepomáhá. Toho 1.exe a 2.exe jsem se už zbavil, zbytek skáče vesele dál.

[Recon]

Nemas aktualni windows a IE. Chybi firewall.
Kdyz ty soubory treba 1.exe smazes rucne ze slozky, tak se Ti znovu objevi, jo?

IE nepoužívám. Firewall už mám, ale nepomáhá. Toho 1.exe a 2.exe jsem se už zbavil, zbytek skáče vesele dál.

Jak se jmenuji ty soubory co se ti vraceji?

[Sir_-_Death]

Všechny tady odsud, krom 1.exe a 2.exe:

http://www.ukazto.com/?img=Beznzvu-jfk1.jpg

[rary]

Obávám se že tam je ještě jeden velký problém a to takový, že máš infikovaný dva systémové soubory, ale to pořešíme.

Aplikuj prosím ComboFix:
Stáhni si combofix a ulož ho na plochu, spusť ho.Postupuj dle pokynů během aplikování ComboFixu neklikej do zobrazujícího se okna může se stát totiž že to proces zastaví.
Po skončení se vytvoří log tak sem zkopíruj jeho obsah.
Jinak je log umístěný na - C:\ComboFix.txt

(Je možné že se PC restartuje pokud combofix nalezne nějaký infikovaný soubory u kterých je potřeba restart aby je smazal.)

Musíš mít účet administrátora aby ti fungoval combofix.

[Sir_-_Death]

...

Díky Vyzkouším to hned jak budu zase doma u svého PC.

[rary]

Jo a ještě proscanuj PC MWAVem a vlož sem z něho log - http://www.viry.cz/forum/viewtopic.php?t=4097

[Sir_-_Death]

Tak výpis z Combo FIXu:

2007-09-07 19:18 61,952 --a------ C:\WINDOWS\NirCmd.exe
2007-09-02 16:51 <DIR> d-------- C:\Program Files\2K Games
2007-09-02 15:59 108,144 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2007-09-02 15:46 545 --a------ C:\WINDOWS\UC.PIF
2007-09-02 15:46 545 --a------ C:\WINDOWS\RAR.PIF
2007-09-02 15:46 545 --a------ C:\WINDOWS\PKZIP.PIF
2007-09-02 15:46 545 --a------ C:\WINDOWS\PKUNZIP.PIF
2007-09-02 15:46 545 --a------ C:\WINDOWS\NOCLOSE.PIF
2007-09-02 15:46 545 --a------ C:\WINDOWS\LHA.PIF
2007-09-02 15:46 545 --a------ C:\WINDOWS\ARJ.PIF
2007-09-02 15:46 <DIR> d-------- C:\totalcmd
2007-09-02 15:37 <DIR> d-------- C:\Program Files\DaemonTools_WhenUSave_Installer
2007-09-02 15:35 <DIR> d-------- C:\Program Files\DAEMON Tools Pro
2007-09-02 15:35 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATAAP~1\DAEMON Tools Pro
2007-09-02 14:51 <DIR> d-------- C:\Program Files\uTorrent
2007-09-02 14:32 685,816 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2007-09-01 16:09 <DIR> d-------- C:\Program Files\Sunbelt Software
2007-08-31 18:15 <DIR> d-------- C:\Program Files\Common Files\Nero
2007-08-31 18:15 <DIR> d-------- C:\DOCUME~1\sir\WINDOWS
2007-08-31 18:14 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll
2007-08-31 18:13 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll
2007-08-31 18:13 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll
2007-08-31 18:13 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll
2007-08-31 18:13 225,280 --a------ C:\WINDOWS\system32\NeroCheck.exe
2007-08-31 18:13 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll
2007-08-31 18:13 <DIR> d-------- C:\Program Files\Common Files\Ahead
2007-08-31 18:13 <DIR> d-------- C:\Program Files\Ahead
2007-08-31 18:12 <DIR> d-------- C:\Program Files\Elaborate Bytes
2007-08-31 13:53 <DIR> d-------- C:\music
2007-08-30 21:02 <DIR> d-------- C:\Program Files\Guitar Pro 5
2007-08-30 18:06 14,208 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2007-08-30 18:06 14,208 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2007-08-30 18:05 57,344 --a------ C:\WINDOWS\system32\CNCI180.DLL
2007-08-30 18:05 161,792 --a------ C:\WINDOWS\system32\CNMLM82.DLL
2007-08-30 18:05 135,168 --a------ C:\WINDOWS\system32\CNCL180.DLL
2007-08-30 18:05 106,496 --a------ C:\WINDOWS\system32\cnco180.dll
2007-08-30 18:05 1,134,592 --a------ C:\WINDOWS\system32\CNCC180.DLL
2007-08-30 18:05 <DIR> d--h----- C:\WINDOWS\system32\CanonIJ Uninstaller Information
2007-08-30 18:05 <DIR> d--h----- C:\Program Files\CanonBJ
2007-08-30 18:05 <DIR> d--h----- C:\DOCUME~1\ALLUSE~1\DATAAP~1\CanonBJ
2007-08-30 18:04 <DIR> d-------- C:\Program Files\Canon
2007-08-30 18:03 24,960 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2007-08-30 18:03 24,960 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2007-08-30 18:03 182,880 --a------ C:\WINDOWS\system32\iuenginenew.dll
2007-08-30 18:03 <DIR> d-------- C:\WUTemp
2007-08-29 17:26 95,608 --a------ C:\WINDOWS\system32\AVASTSS.scr
2007-08-29 17:26 94,416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-08-29 17:26 92,848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-08-29 17:26 783,224 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-08-29 17:26 499,712 --a------ C:\WINDOWS\system32\MSVCP71.dll
2007-08-29 17:26 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-08-29 17:26 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-08-29 17:26 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-08-29 17:26 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2007-08-29 17:26 <DIR> d-------- C:\Program Files\Alwil Software
2007-08-29 17:24 50,688 --a------ C:\WINDOWS\system32\wbhelp2.dll
2007-08-29 17:24 <DIR> d-------- C:\Program Files\DAP
2007-08-29 17:23 378,880 --a------ C:\WINDOWS\IsUninst.exe
2007-08-29 17:23 11,864 --a------ C:\WINDOWS\system32\drivers\kbfilter.sys
2007-08-29 17:23 <DIR> d-------- C:\Program Files\MediaKey v2.00
2007-08-29 17:21 544,768 --a------ C:\WINDOWS\system32\The Simpsons Movie - Sleeping Homer.scr
2007-08-29 17:21 <DIR> d-------- C:\WINDOWS\system32\The Simpsons Movie - Sleeping Homer dir
2007-08-29 17:18 1,156 --a------ C:\WINDOWS\mozver.dat
2007-08-29 16:05 <DIR> d-------- C:\Program Files\Common Files\Wise Installation Wizard
2007-08-29 15:53 <DIR> d-------- C:\games
2007-08-29 11:15 <DIR> d-------- C:\Temp
2007-08-28 20:58 77,440 --a------ C:\WINDOWS\system32\drivers\wdmaud.sys
2007-08-28 20:58 56,832 --a------ C:\WINDOWS\system32\drivers\sysaudio.sys
2007-08-28 20:58 54,272 --a------ C:\WINDOWS\system32\drivers\swmidi.sys
2007-08-28 20:58 50,048 --a------ C:\WINDOWS\system32\drivers\DMusic.sys
2007-08-28 20:58 5,888 --a------ C:\WINDOWS\system32\drivers\splitter.sys
2007-08-28 20:58 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2007-08-28 20:58 2,816 --a------ C:\WINDOWS\system32\drivers\drmkaud.sys
2007-08-28 20:58 159,360 --a------ C:\WINDOWS\system32\drivers\kmixer.sys
2007-08-28 20:58 142,208 --a------ C:\WINDOWS\system32\drivers\aec.sys
2007-08-28 20:57 57,472 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2007-08-28 20:56 9,856 --a------ C:\WINDOWS\system32\drivers\gameenum.sys
2007-08-28 20:56 68,096 --a------ C:\WINDOWS\system32\usbui.dll
2007-08-28 20:56 2,944 --a------ C:\WINDOWS\system32\drivers\msmpu401.sys
2007-08-28 20:55 <DIR> dr------- C:\DOCUME~1\DEFAUL~1\Nabˇdka Start
2007-08-28 20:55 <DIR> dr------- C:\DOCUME~1\ALLUSE~1\Nabˇdka Start
2007-08-28 20:55 <DIR> dr------- C:\DOCUME~1\ALLUSE~1\Dokumenty
2007-08-28 20:55 <DIR> d--h----- C:\DOCUME~1\DEFAUL~1\ćablony
2007-08-28 20:55 <DIR> d--h----- C:\DOCUME~1\DEFAUL~1\Okolnˇ tisk rny
2007-08-28 20:55 <DIR> d--h----- C:\DOCUME~1\DEFAUL~1\Okolnˇ sˇś
2007-08-28 20:55 <DIR> d--h----- C:\DOCUME~1\ALLUSE~1\ćablony
2007-08-28 20:55 <DIR> d-------- C:\DOCUME~1\DEFAUL~1\Plocha
2007-08-28 20:55 <DIR> d-------- C:\DOCUME~1\DEFAUL~1\Oblˇben‚ polo§ky
2007-08-28 20:55 <DIR> d-------- C:\DOCUME~1\DEFAUL~1\Dokumenty
2007-08-28 20:55 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\Plocha
2007-08-28 20:55 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\Oblˇben‚ polo§ky
2007-08-28 20:54 <DIR> dr-h----- C:\DOCUME~1\DEFAUL~1\Data aplikacˇ
2007-08-28 20:54 <DIR> dr-h----- C:\DOCUME~1\ALLUSE~1\Data aplikacˇ
2007-08-28 20:54 <DIR> d-------- C:\WINDOWS\system32\CatRoot2
2007-08-28 20:54 <DIR> d-------- C:\WINDOWS\system32\CatRoot
2007-08-28 20:28 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2007-08-28 20:18 21,840 --a------ C:\WINDOWS\system32\SIntfNT.dll
2007-08-28 20:18 17,212 --a------ C:\WINDOWS\system32\SIntf32.dll
2007-08-28 20:18 12,067 --a------ C:\WINDOWS\system32\SIntf16.dll
2007-08-28 20:12 35,369 --a------ C:\WINDOWS\DIIUnin.dat

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-06-14 12:36 C:\WINDOWS\SOUNDMAN.EXE]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-10-22 12:22]
"nwiz"="nwiz.exe" [2006-10-22 12:22 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-10-22 12:22 C:\WINDOWS\system32\nvmctray.dll]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-09-01 15:57]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03]
"VirtualCloneDrive"="C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2004-08-20 12:28]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-09-23 14:00]
"Centrum.cz Notifikátor"="C:\Program Files\NetCentrum\Notifikator\Notifikator.exe" [2007-08-28 20:05]
"DAEMON Tools Pro Agent"="C:\Program Files\DAEMON Tools Pro\DTProAgent.exe" [2007-06-22 14:45]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"=C:\Program Files\ICQLite\ICQLite.exe -trayboot

C:\DOCUME~1\ALLUSE~1\NABDKA~1\Programy\POSPUT~1\
Genius Multimedia Keyboard Driver.lnk - C:\Program Files\MediaKey v2.00\Versato.exe [2007-08-29 17:23:54]

R1 fwdrv;Firewall Driver;C:\WINDOWS\System32\drivers\fwdrv.sys
R1 kbfilter;Keyboard Filter Driver;C:\WINDOWS\System32\drivers\kbfilter.sys
R1 khips;Kerio HIPS Driver;C:\WINDOWS\System32\drivers\khips.sys
R3 adusbmdm6501;AnyDATA CDMA USB Modem Driver (PID 6501);C:\WINDOWS\System32\DRIVERS\adusbmdm65.sys
R3 adusbser6501;AnyDATA CDMA USB Serial Port (PID 6501);C:\WINDOWS\System32\DRIVERS\adusbser65.sys
R3 PSched;Plánovač paketů technologie QoS;C:\WINDOWS\System32\DRIVERS\psched.sys

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
Schedule

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-08 21:09:17
Windows 5.1.2600 Service Pack 1 NTFS

detected NTDLL code modification:
ZwOpenFile

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-09-08 21:11:59
C:\ComboFix-quarantined-files.txt ... 2007-09-08 21:11
.
--- E O F ---